Splunk Phantom Playbook 동작 방식

팬텀을 알게 된게 1년은 넘은 것 같은데, Playbook을 동작시키는 방법을 오늘에서야 알게 되었다.

패텀은 Playbook을 기반으로 동작하는데 외부에서 유입되는 이벤트에 대해서 자동화 처리를 한다.

이때 자동화처리하는 기준은 바로 아래 Operates on : 이 부분에서 사용하는 라벨의 이름이다.

이 이름이 매치되면 실행된다. 실제 실행여부에 대해서는 그 아래 Acitve 토글을 켜주면 된다.

이렇게 되면 이벤트 이름 라벨링이 상당히 중요하게 된다.